配置acl规则
作者:捷安信
运营商都提供IPv6了,直接打开就能用,在网络-IPv6设置里打开,如图
IPv6资源充足,不仅路由wan口是公网Ip,里面支持IPv6的设备直接给分的也是公网Ip,和wan口前缀一样,打开ipv6-test.com,测试结果说明现在我电脑支持与IPV6网络直接通信
既然是公网IP那就来试一下,手机浏览器访问https://[nas的 IPv6地址]:端口号,能直接访问
我路由没做端口映射怎么直接就通了?!,这就是ipv6的好处,但也是坏处,想想你的nas 就这么暴露给全世界,多不安全啊。
怎么来加强防护?之前有写过群晖防火墙和IP封锁设置,群晖设置好了起码上面大量数据安全有所保障了,详见https://post.smzdm.com/p/awzgwkg2/
但其他设备还是要想办法,保不准哪天爆出什么高危漏洞,而自己的设备又获取到了公网IPV6地址就容易成为目标,我这里用爱快的ACL功能来防一防。
ACL设置是在 安全设置-ACL规则
在爱快路由3.7.0及以上版本支持IPv4和v6两个协议栈,v4由于有Nat所以不用设置,v6我就设了三条策略,两条用于允许transmission peer连接进来,最后一条禁止从外部访问内部其他所有服务,三条规则见上面ACL规则界面。
配置规则时注意选择方向,方向有原始方向、应答方向、关闭,怎么理解呢?ACL规则配置里有源地址、目的地址、目的端口,如果想要控制从源访问目的那就是选择原始方向,如果想要控制从目的访问源的那就选择应答方向,关闭就是两个方向都生效,这有什么关系呢?通常我们只想禁止外网访问家里但家里设备总还是要上网的,那么配置时设源地址为外网某个范围或留空(any)目的为内网某些IP或端口,到这还是对的,但如果设置方向为关闭那家里访问外网(从目地到源)也不通了。
爱快的ACL默认是全通的(废话),所以默认情况内部通过IPV6或IPV4访问外部都是正常转发数据,但是经过测试,访问了国内阿里、腾讯、百度、新浪几个门户,发现也是只有一部份能访问,看来IPV6的普及有很漫长的路要走,不过测试transmission是可以连接上IPv6的peer了,所以相应的下载速度也有所提升,这样说来IPv6也是有一定实际用处
还有如上文我的操作,我把IPv6的外部访问内部给禁止了,也就是不能用IPv6来远程家里NAS之类了,其实是因为我的两条宽带都长期获取到公网IP,远程访问内网资源都稳定,相比ipv6的直通还是ipv4的NAT结合vpn比较安全,就不用IPv6来远程访问了
查看文章精彩评论,请前往什么值得买进行阅读互动
","gnid":"9a8186ee20f423840","img_data":[{"flag":2,"img":[{"desc":"","height":"339","title":"","url":"https://p0.ssl.img.360kuai.com/t01640c3e8133bb15ab.jpg","width":"600"},{"desc":"","height":"344","title":"","url":"https://p0.ssl.img.360kuai.com/t01d4fed2bb644964f1.jpg","width":"600"},{"desc":"","height":"1299","title":"","url":"https://p0.ssl.img.360kuai.com/t01c63b5eed648a0365.jpg","width":"600"},{"desc":"","height":"339","title":"","url":"https://p0.ssl.img.360kuai.com/t01b28f26f4c7266126.jpg","width":"600"},{"desc":"","height":"762","title":"","url":"https://p0.ssl.img.360kuai.com/t0196d32f990c08beee.jpg","width":"600"},{"desc":"","height":"339","title":"","url":"https://p0.ssl.img.360kuai.com/t018c67714af55a0e63.jpg","width":"600"}]}],"original":0,"pat":"art_src_1,fts0,sts0","powerby":"hbase","pub_time":1685439345000,"pure":"","rawurl":"http://zm.news.so.com/a19d7805561b4d0ca81af156cc83a1c3","redirect":0,"rptid":"33963f207254b4ad","rss_ext":[],"s":"t","src":"什么值得买","tag":[{"clk":"ktechnology_1:v6","k":"v6","u":""}],"title":"网络无限 篇二:爱快IPv6的使用及ACL配置
蔡致和4843acl是什么交换机的配置中需要用到ACL,请问什么东西 -
祝奋荣13718802509 ______ acl 是一种规则,可以通过定义规则,规范 大到任意的(any)所有的内网网段、小到具体到某个地址的一些上网或者访问行为,,一般分为基本的和增强的ACL,一般三层交换机及以上的路由器用到ACL,,acl一般与其他一些协议连起来用,如nat等等
蔡致和4843都可以在哪些设备上配置acl列表 -
祝奋荣13718802509 ______ 可以,推荐使用命令方式. 现在很多可以使用web界面配置,比如防火墙规则应用其实就是ACL的控制. 具体需要搜索相应品牌的书写规则
蔡致和4843交换机中ACL配置信息是指什么啊?作用是什么啊? -
祝奋荣13718802509 ______ 举一个在某型号交换机上的例子,acl的样式是这样的:ip access-group 100 in ...access-list 100 deny tcp any 10.0.0.0 0.255.255.255 access-list 100 permit ip any any 注意,掩码是反过来的.如果作为网管,可以接触到这些知识,一般人就算懂了也没什么用.
蔡致和4843cisco路由器如何配置标准访问控制列表 ACL -
祝奋荣13718802509 ______ 标准ACL配置提问:如何只允许端口下的用户只能访问特定的服务器网段?回答:步骤一:定义ACLS5750#conf t ----进入全局配置...
蔡致和4843华为网络工程配置案例 -
祝奋荣13718802509 ______ 华为交换机防止同网段ARP欺骗攻击配置案例 1阻止仿冒网关IP的arp攻击 1.1 二层交换机实现防攻击 1.1.1 配置组网 图1二层交换机防ARP攻击组网 S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e...
蔡致和4843正确配置标准acl的命令是什么意思 -
祝奋荣13718802509 ______ 交换机直接用下面的就可以acl number 3000rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0acl number 2000rule permit ip source 1.1.1.1 0 acl 2000-3000 只能定义源acl 3000 及以上可以定义源和目标上面是配置实例 permit是允许 deny是拒绝定义之后到接口或端口去下发.Packet in/out 2000路由器的话略有不同你要先fiirwall enable 全局使能防火墙定义ACL 同上面的方法定义ACL接口下发:firewall packet in/out 3000 分享
蔡致和4843什么是ACL含义? -
祝奋荣13718802509 ______ ACL(Access Control Lists,缩写ACL),存取控制列表.ACL是一套与文件相关的用户、组和模式项,此文件为所有可能的用户 ID 或组 ID 组合指定了权限. ACL的作用 限制网络流量提高网络性能 通过设定端口上、下行流量的带宽,ACL可以...